Blizzard corrige partiellement une faille dans son client, le reste pour « bientôt »

Soon© 6
Accès libre
image dediée
Sécurité
Vincent Hermann

Blizzard a corrigé partiellement une faille dans son client d’installation, et complètera prochainement la solution. Exploitée, la brèche aurait pu permettre à des acteurs malintentionnés de provoquer des installations arbitraires sur les machines de très nombreux joueurs.

World of Warcraft, Diablo III, HearthStone, Overwatch ou encore Starcraft II sont des titres à succès, joués par des centaines de millions de joueurs. À l’exception des versions mobiles de HearthStone sur Android et iOS, leur installation sur macOS ou Windows passe systématiquement par un client que l’éditeur a tenté de renommer, avant de se raviser récemment pour la laisser sous le nom que tout le monde connait : le client Battle.net.

Une fois installée, cette application est chargée de bon nombre de tâches liées au compte Battle.net du joueur : installation et mise à jour automatique des titres, gestion des options ainsi que toutes les fonctions de communication, le client gérant notamment les conversations audio à deux ou plusieurs personnes.

Or, Tavis Ormandy, chercheur bien connu chez Google pour l’initiative Project Zero, a découvert une faille dans le Blizzard Update Agent, service de liaison pour l’exécution des tâches.

Un serveur HTTP local

Comme il l’explique dans un premier billet daté du 8 décembre, le Blizzard Update Agent passe par un serveur JSON-RPC local, communiquant par le port HTTP 1120. Ce composant reçoit les instructions depuis les serveurs de l’entreprise, qu’il s’agisse de l’émission d’une mise à jour (pour un jeu ou le client lui-même) ou en réponse à une requête provenant de l’utilisateur (installation/suppression d’un titre par exemple).

De la même manière qu’il avait épinglé récemment Transmission et d’autres clients BitTorrent, Ormandy pointe une vulnérabilité au DNS Rebinding dans l’application de Blizzard. Le DNS Rebinding permet à un attaquant de se servir d’un site web en tant que passerelle entre un serveur distant et l’hôte local.

En d’autres termes, un pirate peut piéger un utilisateur en lui faisant visiter une page web particulière, qui se ferait alors passer pour un serveur authentique. Il existe normalement des défenses pour s’assurer de l’authenticité du signal reçu (SOP), mais Blizzard semblait en avoir oublié au passage.

Conséquence, « n’importe quel site peut simplement créer un nom DNS avec lequel il est autorisé à communiquer, pour ensuite le faire correspondre au serveur local ».

Et ça marche, puisqu’après quelque temps, il arrive à faire parvenir des commandes arbitraires à l’agent Blizzard local, lui faisant accomplir par exemple des téléchargements de DLL malveillantes. Blizzard estimant que son application est utilisée par environ 500 millions de joueurs, on comprend donc le danger potentiel.

Correction partielle et rupture de communication

Dans un message supplémentaire, Tavis Ormandy avait indiqué le 8 décembre que son rapport avait été envoyé à un contact chez Blizzard, qui avait par la suite confirmé le problème. Cette nuit cependant, nouveau message d’Ormandy : l’éditeur ne répond plus à ses emails depuis le 22 décembre, mais une solution a manifestement été intégrée dans une révision du client.

Le chercheur se dit cependant surpris : plutôt que de créer une liste blanche de noms d’hôtes dont l’authenticité serait vérifiée, la mise à jour passe les navigateurs sur la liste noire : les exécutables d’Internet Explorer, Chrome, Firefox, Opera et Safari sont détectés.

L’idée de la mesure est bien entendu d’interdire à un site malveillant d’agir à travers ces navigateurs, maillons essentiels de l’attaque par DNS Rebinding. Mais comme le chercheur le précise, la faille est assez évidente : la liste doit être complète et mise à jour, sans quoi l’attaque pourrait continuer via des navigateurs moins communs.

Une mise à jour complète pour « bientôt »

Quelques heures après, un message par un employé de Blizzard laisse finalement entendre que la communication avec le chercheur a été rétablie. L’éditeur ajoute que la liste noire n’était qu’une solution temporaire, en attendant la liste blanche avec vérification, qui serait bien en développement. Aucune date n’a été donnée, mais Blizzard lâche un « soon », une véritable marque de fabrique.

Nous avons posé des questions à l’entreprise sur ce qui s’est passé dans l’intervalle, mais il n’est pas certain qu’elle nous réponde.


chargement
Chargement des commentaires...